Do endereço ao CPF, da data de nascimento aos hábitos financeiros, os dados pessoais estão hoje nos registros das mais diversas empresas. Para além dos serviços e/ou produtos que as companhias comercializam, essas informações são também ativos muito valiosos. Por isso, os dados são tão visados por criminosos e é papel da empresa que os coleta garantir que eles não sejam roubados ou adulterados. Um projeto de segurança sólido precisa atuar em duas frentes: proteger o usuário de ameaças, garantindo integridade e confidencialidade e, ao mesmo tempo, maximizar o retorno de investimentos e gerar novas oportunidades.
Para a diretora de Tecnologia e Operações da Tecnobank, Adriana Saluceste, informação é um dos pontos mais delicados das operações da empresa, que trabalha com o sistema financeiro. “Mantemos uma política de atualização constante de sistemas operacionais e de firmware, com o intuito de mitigar possíveis explorações de vulnerabilidades. Práticas de desenvolvimento seguro são adotadas para evitar brechas que possibilitam vazamento de dados ou indisponibilidade dos sistemas”, explica.
Mas como reduzir as chances de que um ataque hacker invada o banco de dados? A especialista enumera oito pontos que precisam de atenção redobrada.
Dados necessários
Quais são os dados realmente necessários para o funcionamento da empresa? Coletar mais dados que o necessário implica em proteger um número muito mais amplo de informações sensíveis. Entenda quais dados são necessários e quais são dispensáveis – e, então, colete apenas os essenciais.
Acesso aos dados
Para garantir segurança, é fundamental restringir o acesso aos dados àquelas pessoas que realmente necessitam deles. Adriana afirma que isso pode ser feito de forma individual ou estabelecendo níveis de acesso de acordo com requisitos de cada usuário.
Exija senhas seguras e fatores múltiplos de autenticação
Senhas fortes, com menos chances de serem copiadas ou adivinhadas são uma camada extra de proteção de dados. O mesmo serve para fatores de autenticação. Quanto mais etapas, melhor. “Além de autenticar com senha, você pode exigir uma pergunta de segurança, um código que vá para o celular do usuário, um token. A gente usa recursos dessa natureza para garantir que o conteúdo esteja disponível, mas mantenha a confidencialidade da informação”, afirma.
Negligência com a informação pública
Dados públicos também precisam ser protegidos. Muitas vezes, as companhias se preocupam com as informações internas e confidenciais, mas não dão a mesma atenção à informação pública por considerar que ela não representa risco de danos. Uma informação adulterada, no entanto, pode causar constrangimento e prejuízo à imagem de uma empresa ou mesmo causar a perda de clientes por desinformação ou falha de comunicação.
Atualização de sistemas operacionais
“Hackers ‘trabalham’ buscando vulnerabilidades nos sistemas e, a cada novo sistema operacional ou software que é lançado, eles estudam possíveis brechas deixadas pelos desenvolvedores na programação”, explica Adriana. Por isso é melhor permitir apenas que os profissionais de TI sejam autorizados a instalar e atualizar sistemas e softwares nos equipamentos da empresa.
Uso de redes seguras
As redes privadas virtuais (VPN, na sigla em inglês) são ferramentas muito importantes para trazer mais segurança às informações. Elas servem para armazenar os dados de forma mais protegida, sem permitir que eles sejam acessados por usuários não autenticados. Assim, somente usuários com login e senha cadastrados poderão ver esses dados.
Falta de backup
“Backup é igual a seguro de carro, você só vai perceber a necessidade se um dia vier a precisar”, lembra Adriana. Ela recomenda que todas as informações sejam salvas em, pelo menos, dois dispositivos: um físico e um virtual. “Na nuvem, temos a segurança de que não perderemos a informação nem em caso de roubo ou acidente, mas é demorado para recuperar os dados. Em um HD externo, por exemplo, podemos resgatar os dados rapidamente, mas também corremos o risco de perdê-lo ou tê-lo destruído em alguma circunstância”, alerta.
Descarte errado de dispositivos
Uma das principais brechas para o roubo de informações é justamente quando se descartam dispositivos que não são mais úteis para determinado projeto ou aplicação. “Em papel, é preciso utilizar um triturador para garantir que as informações não sejam lidas. Dependendo da importância do dado, é necessário um triturador que destrua o papel nos dois sentidos, vertical e horizontal”, alerta. Nos dados eletrônicos, a diretora da Tecnobank cita que um erro comum é simplesmente deletar o arquivo ou formatar um HD. “Dados apenas apagados são facilmente recuperados. É preciso sobrescrever, criptografar o disco ou mesmo destruir o HD”, orienta. Ela lembra que existem softwares chamados wipe que “zeram o conteúdo” para evitar que dados excluídos sejam recuperados.